Quishing – jak hakerzy atakują firmy przez kody QR

Czym jest quishing i dlaczego rosnie?

Quishing (od ang. QR code phishing) to rodzaj ataku, w ktorym cyberprzestepcą zamiast klasycznego, klikalnego linku umieszcza w wiadomosci e-mail lub dokumencie zlosliwy kod QR. Po zeskanowaniu telefonem ofiara trafia na falszywa strone – najczesciej podszywajaca sie pod strone logowania Microsoft 365, VPN-a firmowego lub systemu bankowosci.

Popularnosc tej metody gwaltownie wzrosla po pandemii COVID-19, kiedy kody QR staly sie powszechne w restauracjach, dokumentach firmowych, kampaniach marketingowych i autoryzacjach bankowych. Przyzwyczailismy sie skanowac je bez zastanowienia, a przestepcy natychmiast to wykorzystali. Analitycy bezpieczenstwa z firm takich jak Cofense i Abnormal Security odnotowuja rokroczny wzrost atakow quishingowych rzedy setek procent – to jedno z najszybciej skalujacych sie zagrozen ostatnich lat.

Dla malych i srednich firm oznacza to jedno: nowe zagrozenie, ktorego stare zabezpieczenia po prostu nie wykrywaja.

Jak wyglada typowy atak quishingowy?

Scenariuszy jest kilka, a wszystkie lacza dwa elementy: nieuwaga pracownika i zaufanie do kodu QR. Oto najczestsze schematy atakow:

• Falszywy e-mail z kodem QR – wiadomosc wyglada jak powiadomienie od Microsoft, banku lub kuriera. Zamiast klikalnego linku zawiera osadzony obraz kodu QR z prosba o szybkie potwierdzenie tozsamosci lub weryfikacje konta.
• Zlosliwe kody QR w dokumentach PDF – hakerzy wysylaja falszywe faktury, oferty lub umowy, w ktorych zawarty jest kod QR prowadzacy do strony phishingowej zamiast do faktycznego dokumentu.
• Fizyczne naklejki w biurach – w biurach, parkingach lub przy urzadzeniach drukujacych przestepcy nalejkaja falszywe kody QR na oryginalne plakaty, tablice informacyjne lub etykiety maszyn.
• Ataki przez Teams lub Slack – zlosliwy kod QR trafia przez komunikatory firmowe, podszywajac sie pod zaproszenie na spotkanie lub link do wspoldzielonego zasobu.

Cel jest zawsze ten sam: wyludzenie danych logowania lub zainstalowanie zlosliwego oprogramowania na urzadzeniu mobilnym pracownika, ktore ma dostep do zasobow firmowych.

Dlaczego quishing omija tradycyjne zabezpieczenia?

To wlasnie tutaj tkwi prawdziwa sila quishingu jako metody ataku. Tradycyjne systemy antyspamowe i filtry poczty elektronicznej analizuja tekst i linki zawarte w tresci wiadomosci. Kod QR to jednak zwykly obrazek – pikselowy wzor, ktory filtr widzi jako grafike, nie jako adres URL.

W efekcie powstaje kilka powaznych luk:

• Filtry antyspamowe nie rozpoznaja zlosliwego adresu ukrytego w kodzie QR
• Mechanizmy Safe Links dostepne np. w Microsoft Defender for Office 365 nie sprawdzaja URL-i zakodowanych w obrazkach (chyba ze jest to jawnie skonfigurowane)
• Atak odbywa sie na smartfonie pracownika – urzadzeniu czesto slabiej chronionym niz firmowy komputer
• Na ekranie telefonu trudniej zauwazc, ze adres wyswietlonej strony jest podejrzany lub rozni sie od oczekiwanego
• Urzadzenia mobilne rzadziej maja zainstalowane korporacyjne rozwiazania EDR czy filtry DNS

Czesc zaawansowanych systemow bezpieczenstwa zaczyna juz automatycznie dekodowac kody QR z obrazkow w e-mailach i sprawdzac ukryte URL-e, ale wciaz nie jest to standard – szczegolnie w konfiguracjach poczty stosowanych w malych firmach.

Jak chronic firme przed quishingiem?

Obrona przed quishingiem wymaga kilku warstw zabezpieczen jednoczesnie. Zadne pojedyncze rozwiazanie nie jest wystarczajace.

1. Szkolenia pracownikow – to absolutny priorytet. Pracownicy musza wiedziec, ze kod QR w e-mailu to sygnal ostrzegawczy. Zasada jest prosta: nie skanuj kodu QR z wiadomosci e-mail bez weryfikacji nadawcy. Jesli kod prowadzi do strony logowania – zatrzymaj sie i sprawdz adres.
2. Zaawansowana ochrona poczty z analiza obrazow – rozwiazania klasy Microsoft Defender for Office 365 Plan 2, Proofpoint lub Abnormal Security potrafia analizowac obrazy w wiadomosciach i wykrywac zakodowane URL-e. Warto sprawdzic, czy Twoje rozwiazanie to obsługuje.
3. MDM i zarzadzanie urzadzeniami mobilnymi – jesli pracownicy skanuja kody QR telefonami sluzbowymi lub wlasnorecznie, te urzadzenia powinny byc objetce polityka bezpieczenstwa firmy (filtry DNS, kontrola aplikacji).
4. Wieloskladnikowe uwierzytelnianie (MFA) – nawet jesli pracownik poda dane logowania na falszywej stronie, MFA moze uratowac konto. Atakujacy bez drugiego skladnika nie zaloguje sie do systemow firmowych.
5. Polityka weryfikacji URL – naucz pracownikow, by przed otwarciem zeskanowanego linku sprawdzali wyswietlony adres. Wiekszosc smartfonow pokazuje URL przed jego otwarciem – to czas na refleksje.

Jesli firma korzysta z Microsoft 365, warto regularnie audytowac konfiguracje bezpieczenstwa poczty – wiele ustawien domyslnych nie zapewnia wystarczajacej ochrony przed wspolczesnymi metodami atakow.

Quishing to objaw glebszego problemu

Quishing nie jest izolowanym zjawiskiem – to kolejny dowod na to, ze cyberprzestepcy blyskawicznie adaptuja sie do zmian w zachowaniu uzytkownikow. Kiedys wystarczylo uwazac na podejrzane linki w e-mailach. Dzis trzeba myslec o kodach QR, deepfakach, atakach przez Teams, smishingu i aplikacjach mobilnych.

Dla firm MSP plynie z tego jasny wniosek: ochrona IT to nie jednorazowe wdrozenie, lecz ciagly proces. Wymaga regularnych szkolen, aktualizacji konfiguracji zabezpieczen i wspolpracy z partnerem IT, ktory sledzi ewoluujace zagrozenia – a nie tylko reaguje, kiedy cos juz sie stanie.

Warto pamietac, ze quishing czesto jest tylko pierwszym krokiem ataku. Po wyludzeniu danych logowania przestepcy moga uzyskac dostep do poczty firmowej, systemow finansowych lub danych klientow. To nie jest tylko problem techniczny – to potencjalne naruszenie RODO, ktore wiaze sie z obowiazkiem zgloszenia incydentu do UODO i ryzykiem powaznych kar finansowych.